Boa tarde meus amigos, hoje venho fazer uma postagem sobre um assunto que me divertiu bastante.
Estava montando um srcript para fazer uma forense de usuários, um tipo de script que detecta algumas vulnerabilidades criadas pela unica coisa que não tem patch no sistema, isso mesmo, o "USUÁRIO".
Decidi passar o chkrootkit só para brincar um pouco, e não é que tomei um susto !
Uma das linhas acusadas por ele foi a seguinte:
Checking `bindshell'... INFECTED (PORTS: 31337)
É incrível, mas nessas horas a gente só foca na palavra INFECTED :-)
sai feito louco para saber o que estava rodando nesta porta, executei os comandos:
nmap -sS localhost | grep 31337
e o resultado foiiiii ?!?!?!
31337/tcp open Elite
ou seja, mais um susto mesmo !!!
Fui pesquisar na net sobre o resultado do chkrootkit e tinha várias pessoas perguntando a mesma coisa, mas ninguém respondia, normal !
Cheguei a pensar que a comunidade cracker estava pagando pelo silencio, ainda bem que nós sempre temos soluções alternativas não é mesmo ?
executei o comando fuser:
fuser -n tcp 31337
31337/tcp: 11574
e logo apôs:
# ps aux | grep 11574
root 11574 0.0 0.0 1776 428 ? Ss 15:50 0:00 /usr/sbin/portsentry -tcp
root 12541 0.0 0.0 3140 768 pts/1 S+ 15:55 0:00 grep 11574
Olha que legal, descubrimos o que era que estava acontecendo, o meu querido porsentry estava sendo detectado como se fosse um rootkit :-)
só para tirar a dúvida decidí desabilitar o meu portsentry:
/etc/init.d/portsentry stop
vamos rodar mais uma vez o comando chkrootkit com os parametros -e e -x
e olha o resultado:
Checking `bindshell'... not infected
Imagina a minha cara :-)
Bom pessoal, ainda não fui pago por cracker nenhum, se tiver algum interessado em me pagar para tirar esta postagem, por favor, responde como comentário que eu passo o meu telefone :-)
Um abraço pessoal.
Estava montando um srcript para fazer uma forense de usuários, um tipo de script que detecta algumas vulnerabilidades criadas pela unica coisa que não tem patch no sistema, isso mesmo, o "USUÁRIO".
Decidi passar o chkrootkit só para brincar um pouco, e não é que tomei um susto !
Uma das linhas acusadas por ele foi a seguinte:
Checking `bindshell'... INFECTED (PORTS: 31337)
É incrível, mas nessas horas a gente só foca na palavra INFECTED :-)
sai feito louco para saber o que estava rodando nesta porta, executei os comandos:
nmap -sS localhost | grep 31337
e o resultado foiiiii ?!?!?!
31337/tcp open Elite
ou seja, mais um susto mesmo !!!
Fui pesquisar na net sobre o resultado do chkrootkit e tinha várias pessoas perguntando a mesma coisa, mas ninguém respondia, normal !
Cheguei a pensar que a comunidade cracker estava pagando pelo silencio, ainda bem que nós sempre temos soluções alternativas não é mesmo ?
executei o comando fuser:
fuser -n tcp 31337
31337/tcp: 11574
e logo apôs:
# ps aux | grep 11574
root 11574 0.0 0.0 1776 428 ? Ss 15:50 0:00 /usr/sbin/portsentry -tcp
root 12541 0.0 0.0 3140 768 pts/1 S+ 15:55 0:00 grep 11574
Olha que legal, descubrimos o que era que estava acontecendo, o meu querido porsentry estava sendo detectado como se fosse um rootkit :-)
só para tirar a dúvida decidí desabilitar o meu portsentry:
/etc/init.d/portsentry stop
vamos rodar mais uma vez o comando chkrootkit com os parametros -e e -x
e olha o resultado:
Checking `bindshell'... not infected
Imagina a minha cara :-)
Bom pessoal, ainda não fui pago por cracker nenhum, se tiver algum interessado em me pagar para tirar esta postagem, por favor, responde como comentário que eu passo o meu telefone :-)
Um abraço pessoal.
